windows2003主机最安全设置.doc

windows2003主机最安全设置（原创）系统安装windows2003advserver版本,mcafree 8.0 企业版病毒防火墙,serv-u6.0,mdaemon系统得分区：至少3个区，c,d,e 推荐建立三个逻辑驱动器，第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件系统管理：Terminal Service(修改端口)互补，如PcAnyWher,remoadmin安装顺序的选择安装系统前拔掉网线，先安装好后打补丁sp1，在设置本地安全策略IPSec，安全日志，密码策略等等1. 安全日志设置推荐的审核是： 账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败 2. 管理工具服务设置用stimulant.exe工具调整为高级模式保持确定退出3.目录和文件权限： 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。 在进行权限控制时，请记住以下几个原则： 1限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限； 2拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行； 3文件权限比文件夹权限高4利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一； 5仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；取消CDEF驱动盘得everyone权限改为user组。个人总结如下：0: C:Documents and Settings 禁止guests组1: C:Documents and SettingsAll UsersApplication Data 禁止guests组2.C:windowssystem32config 禁止guests组3.C:Documents and SettingsAll Users开始菜单程序 禁止guests组4.c:windownssystem32inetsrvdata 禁止guests组5.c:php, 禁止guests组,c:prel 禁止guests组6.C:Program FilesJava Web Start 禁止guests组7.c:Documents and SettingsAll Users开始菜单程序启动 禁止guests组8.C:Program FilesServ-U 禁止guests组(建议安装得时候更改目录)4.IIS设置ASP防御（重点）web 服务扩展：保留acitve server pages，其他都禁止。网站属性:去掉扩展名中不用得，仅保留asp,asa,等常用。shell.application对象 WSCRIPT.SHELL等。基于shell.application组件cacls %systemroot%system32shell32.dll /e /d guests /禁止guests,仅保留administrator基于WSCRIPT.SHELL组件,基于WSCRIPT.NETWORK组件cacls %systemroot%system32wshom.ocx /e /d guests /禁止guests,仅保留administrator具体组件查看注册表中对应得dll文件，限制他得权限就可以。cscript.exe regedt32.exeregedit.exe.很多都要设置欢迎探讨（QQ:3003303） /仅保留administrator9.SERV-U本地提升权限修改管理账号是LocalAdministrator,默认密码10. mcafree 8.0 企业版病毒防火墙设置如图设置文件，共享资源规则中设置选中所有，增加对c,d,e,f盘*.e